VTT WORKING PAPERS 137. Eija Kupi, Jaana Keränen ja Marinka Lanne. Riskienhallinta osana pk-yritysten strategista johtamista

VTT WORKING PAPERS 137 Eija Kupi, Jaana Keränen ja Marinka Lanne Riskienhallinta osana pk-yritysten strategista johtamista

ISBN 978-951-38-7476-6 (URL: http://www.vtt.fi/publications/index.jsp) ISSN 1459-7683 (URL: http://www.vtt.fi/publications/index.jsp) Copyright VTT 2009 JULKAISIJA UTGIVARE PUBLISHER VTT, Vuorimiehentie 5, PL 1000, 02044 VTT puh. vaihde 020 722 111, faksi 020 722 4374 VTT, Bergsmansvägen 5, PB 1000, 02044 VTT tel. växel 020 722 111, fax 020 722 4374 VTT Technical Research Centre of Finland, Vuorimiehentie 5, P. O. Box 1000, FI-02044 VTT, Finland phone internat. +358 20 722 111, fax + 358 20 722 4374 Toimitus Mirjami Pullinen

Tekijä(t) Eija Kupi, Jaana Keränen & Marinka Lanne Julkaisun sarja, numero ja raporttikoodi VTT Working Papers 137 VTT-WORK-137 Nimeke Riskienhallinta osana pk-yritysten strategista johtamista Tiivistelmä Riskienhallinnan näkökulmasta on tullut yhä keskeisempi osa organisaatioiden johtamista. Tämä johtuu riskienhallinnalle ulkoapäin asetetuista vaatimuksista sekä organisaation sisäisestä tarpeesta jäsentää, kvantifioida ja linkittää erilaisia riskejä. Riskienhallinta on siis osa strategista suunnittelua ja operatiivista päivittäisjohtamista, jonka avulla varmistetaan organisaation liiketoiminnallista menestymistä. Tutkimushankkeessa Toiminnan ohjaus ja riskienhallinta pk-yrityksissä selvitettiin, miten riskienhallinta on integroitu pk-yrityksissä toiminnan ohjaukseen. Tutkimuksessa etsittiin parhaita käytäntöjä riskienhallinnan liittämiseksi osaksi pkyrityksen toiminnan ohjausta. Tutkimusaineistoa kerättiin asiantuntijaseminaarin, dokumenttianalyysin sekä teemahaastattelujen avulla. Tutkimuksessa haastateltiin viiden pk-yrityksen edustajia ja kolmea pk-yritysten edunvalvontaan tai organisaatioiden johtamisen kehittämiseen ja koulutukseen liittyvää asiantuntijaa. Hankkeen tuloksena todettiin, ettei ole olemassa yhtä suositeltavinta tapaa, jolla riskienhallinta tulisi integroida osaksi pk-yritysten toiminnan ohjausta. Hankkeessa laadittiin kolme erilaista mallia, joiden avulla riskienhallintaa voidaan tehostaa ja sisällyttää se osaksi pk-yritysten toiminnan ohjausta. Ensimmäisessä mallissa riskienhallinnan prosessi liitettiin osaksi yrityksen muita toimintaprosesseja. Toisessa mallissa kuvattiin riskienhallinnan yhteyttä muutamissa eri standardeissa kuvattuihin johtamisjärjestelmiin (laadunhallinta-, ympäristö- sekä työterveys- ja työturvallisuusjohtamisjärjestelmät). Kolmannessa mallissa kuvattiin pk-yrityksen eri elinkaaren vaiheissa erityisesti huomioitavia riskejä. Riskienhallinnan kehittämisen näkökulma voidaan siten valita usealla eri tavalla. ISBN 978-951-38-7476-6 (URL: http://www.vtt.fi/publications/index.jsp) Avainnimeke ja ISSN VTT Working Papers 1459-7683 (URL: http://www.vtt.fi/publications/index.jsp) Projektinumero 26630 Julkaisuaika Kieli Sivuja Joulukuu 2009 Suomi, engl. tiiv. 51 s. + liitt. 8 s. Projektin nimi Toiminnan ohjaus ja riskienhallinta pk-yrityksissä Avainsanat Enterprise risk management, risk management process, strategic management, management systems, SMEs Toimeksiantaja(t) Työsuojelurahasto Julkaisija VTT PL 1000, 02044 VTT Puh. 020 722 4520 Faksi 020 722 4374

Author(s) Eija Kupi, Jaana Keränen & Marinka Lanne Series title, number and report code of publication VTT Working Papers 137 VTT-WORK-137 Title Integrating risk management into strategic planning in SMEs Abstract Current trends in risk management emphasize approaches where all risks related to the business operations are viewed as one entity. Being an integral part of strategic and operative management, risk management is recognized as an important factor for a success of a company. This research project was focused on finding out how risk management is integrated into management of SMEs. The research project aimed at finding out best practices for this integration. The data was collected through an expert workshop, document analysis and theme interviews. The interviewed people included five SME managers and three experts working in lobbying organisation and in a management development and training organisation. The key finding of the project concluded that there is no single most preferable way to integrate risk management into an enterprise resource management. As an outcome of the project, three different models were identified and defined to strengthen and integrate risk management into enterprise resource management of an SME. The first model integrates risk management process into other operative processes of a company. The second model presents the connection of risk management with management systems described in various standards (e.g. quality management, environmental management, occupational health and safety management). Third model describes the connection of risk management with various stages of a company life cycle and specific risks to be considered in various stages of a life cycle. Consequently, various points of view for developing risk management can be chosen. ISBN 978-951-38-7476-6 (URL: http://www.vtt.fi/publications/index.jsp) Series title and ISSN VTT Working Papers 1459-7683 (URL: http://www.vtt.fi/publications/index.jsp) Project number 26630 Date Language Pages December 2009 Finnish, Engl. abstr 51 p. + app. 8 p. Name of project Toiminnan ohjaus ja riskienhallinta pk-yrityksissä Keywords Enterprise risk management, risk management process, strategic management, management systems, SMEs Commissioned by The Finnish Work Environment Fund Publisher VTT Technical Research Centre of Finland P. O. Box 1000, FI-02044 VTT, Finland Phone internat. +358 20 722 4520 Fax +358 20 722 4374

Alkusanat Tämä julkaisu on toteutettu osana Toiminnan ohjaus ja riskienhallinta pk-yrityksissä -tutkimusprojektia. Julkaisussa kuvataan riskienhallintaa osana pienten ja keskisuurten yritysten johtamistapaa ja johtamisen järjestelmiä. Tarkastelun kohteena on erityisesti riskienhallinnan integrointi strategiseen johtamiseen. Projektia rahoittivat Työsuojelurahasto, VTT, Keskinäinen Vakuutusyhtiö Fennia sekä KPMG Oy Ab. VTT:stä projektiin osallistui tutkijoita Riskienhallinta ja käyttövarmuus sekä Liiketoiminta ja teknologian johtaminen -osaamiskeskuksista. Projektin johtoryhmään kuuluivat rahoittajatahojen lisäksi PK-RH Foorumin työvaliokunnan jäsenet. Projektiryhmä kiittää kaikkia projektiin osallistuneita yrityksiä ja henkilöitä, joita olemme tavanneet ja haastatelleet projektin aikana. Ilman myönteistä suhtautumistanne haastattelupyyntöihimme tämän julkaisun kokoaminen ei olisi ollut mahdollista. Erityisesti kiitämme hyvistä kommenteista projektin johtoryhmän puheenjohtajaa Pekka Koskipäätä Fenniasta sekä Antti Urrilaa ja Anneli Grönfors-Kalliota KPMG:ltä. Kirjoittajien lisäksi projektiryhmään kuuluivat erikoistutkijat Markku Mikkola ja Teuvo Uusitalo, joille suuret kiitokset yrityshaastatteluihin osallistumisesta sekä merkittävästä panoksesta aihealueen teorioiden pohdinnassa ja projektin tulosten kirjoittamisessa konferenssipaperiksi ESREL 2009 -konferenssia varten. Tampereella 18.12.2009 Tekijät 5

Sisällysluettelo Alkusanat... 5 Terminologiaa... 8 1. Johdanto... 11 1.1 Hajautuva riskienhallinnan maailma... 11 1.2 Riskienhallinta osana toiminnan ohjausta ja organisaation johtamista... 12 1.3 Lähtökohdat hankkeelle... 13 1.4 Hankkeen tavoitteet... 14 2. Toiminnan ohjauksen ja riskienhallinnan viitekehykset... 15 2.1 Pienet ja keskisuuret yritykset Suomessa... 15 2.2 Riskienhallinta pk-yrityksissä... 15 2.2.1 Riskienhallinnan määritelmä ja riskienhallintaprosessi... 15 2.2.2 Enterprise Risk Management (ERM) kokonaisvaltainen ajatusmalli organisaation riskienhallintaan... 20 2.3 Toiminnan ohjauksen ja johtamisen malleista... 22 2.3.1 Toiminnan ohjaus ja toiminnanohjausjärjestelmä (ERP)... 22 2.3.2 Laatujärjestelmät ja niiden yhdistäminen... 23 2.3.3 Laatujohtaminen ja EFQM... 24 2.3.4 Hyvä hallintotapa (corporate governance)... 25 2.3.5 Tasapainotettu mittaristo (balanced scorecard)... 26 3. Aineisto ja menetelmät... 29 3.1 Asiantuntijatyöpaja... 29 3.2 Haastattelut... 29 3.3 PK-RH-sivuston käyttäjäkysely ja sivuston kävijätilastot... 31 4. Tulokset... 33 4.1 Riskienhallinnan motivaatiotekijöitä... 33 4.1.1 Asiakkaan herättämä kiinnostus riskienhallintaan... 33 4.1.2 Yritystoiminnan jatkuvuuden turvaaminen... 34 4.1.3 Yrityksen elinkaareen liittyvä murros... 35 4.2 Riskienhallinnan toimintatavat... 37 4.2.1 Riskienhallinnan yhteys strategiseen suunnitteluun... 37 4.2.2 Riskienhallinta operatiivisessa toiminnassa... 40 4.3 Riskienhallinnan yhteydet ja integrointi johtamisjärjestelmiin... 40 6

4.3.1 Riskienhallinta osana toimintaprosesseja... 40 4.3.2 Riskienhallinta osana laatujärjestelmiä... 41 4.3.3 Riskienhallinta yrityksen elinkaaren vaiheissa... 42 5. Tulosten tarkastelu... 46 6. Päätelmät... 48 Lähdeluettelo... 50 Liitteet Liite A: Riskienhallintaprosessin ja toimintaprosessien liitynnät Liite B: Laatujärjestelmätaulukko 7

Terminologiaa EFQM (European Foundation for Quality Management) on laatujohtamisen arviointityökalu, jota käyttämällä organisaatiot voivat arvioida toimintaansa eri näkökulmista. Malli jakautuu yhdeksään organisaation toimintaan tai tuloksiin liittyvään arviointikohteeseen. [The European Foundation for Quality Management 2003.] Hyvä hallintotapa (corporate governance) tarkoittaa sitä järjestelmää, jolla yhtiöitä ja muita organisaatioita johdetaan ja valvotaan, sekä sitä, miten ja millaista tietoa eri sidosryhmille annetaan. Hyvä hallintotapa sisältää yritykselle ja sen hallitukselle kuuluvat velvoitteet, jotka tulevat omistajien ja pääomamarkkinoiden lisäksi asiakasmarkkinoilta, yhteiskunnalta ja muilta keskeisiltä sidosryhmiltä. [Alftan et al. 2008.] Johtamisjärjestelmällä tarkoitetaan strategista ja operatiivista suunnittelua, tavoitteiden asettamista ja seurantaa sekä strategian toimivuudesta oppimista. Johtamisjärjestelmällä voidaan ymmärtää myös kaikkea sitä systemaattista toimintaa, jolla yrityksen johto pyrkii varmistamaan yrityksen menestymisen. [Malmi et al. 2003.] Kokonaisvaltainen riskienhallinta. Kokonaisvaltaisessa riskienhallinnassa (Enterprise Risk Management ERM) riskienhallinta kytketään organisaation strategisiin, toiminnallisiin ja taloudellisiin tavoitteisiin. Samalla riskien tarkastelukulma kääntyy yksittäisistä toiminnoista ja niihin liittyvistä riskeistä koko organisaation tasolle. [Alftan et al. 2008.] Kokonaisvaltaisen riskienhallinnan malli, ns. COSO ERM -malli [COSO 2004a], määrittelee riskienhallinnan prosessiksi, joka kattaa koko organisaation ja jota sovelletaan kaikilla organisaation tasoilla. Laadunhallintajärjestelmällä tarkoitetaan tapaa, jolla yritys johtaa ja ohjaa laatuun liittyvää toimintaa. Tämä käsittää organisaatiorakenteen sekä sen suunnittelun, prosessit, resurssit ja dokumentaation, joita käytetään laatutavoitteiden saavuttamiseksi, tuotteiden parantamiseksi ja asiakasvaatimusten täyttämiseksi. [SFS- EN ISO 9001. 2008.] 8

Ohjausjärjestelmällä tarkoitetaan muodollisia keinoja, joilla ihmisiä pyritään ohjaamaan (mm. suunnittelu-, tavoitteenasetanta- ja seurantamenettelyt). [Malmi et al. 2003.] Pk-yritys. Pienet ja keskisuuret yritykset (pk-yritykset) määritellään yrityksiksi, joiden palveluksessa on vähemmän kuin 250 työntekijää, joiden vuosiliikevaihto on enintään 50 miljoonaa euroa tai taseen loppusumma enintään 43 miljoonaa euroa ja jotka täyttävät perusteen riippumattomuudesta. Riippumattomia yrityksiä ovat ne yritykset, joiden pääomasta tai äänivaltaisista osakkeista 25 prosenttia tai enemmän ei ole yhden sellaisen yrityksen omistuksessa tai sellaisten yritysten yhteisomistuksessa, joihin ei voida soveltaa tilanteen mukaan joko pkyrityksen tai pienen yrityksen määritelmää. [Tilastokeskus 2009a.] Riski on jonkin tapahtuman muutos, joka voi vaikuttaa tavoitteiden saavuttamiseen. Riskillä voi olla positiivisia tai negatiivisia vaikutuksia. Riskiksi voidaan tunnistaa myös tapahtuma tai tilanne, joka jätetään hyödyntämättä ja jonka avulla voitaisiin saavuttaa organisaation asettama tavoite. [AS/NZS 4360:2004. 2004.] Riskianalyysi (risk analysis) on systemaattinen prosessi, jonka tarkoituksena on ymmärtää riskin luonne ja päätellä riskin taso. Riskianalyysi luo perustan riskien arvioinnille ja riskien hallintaan liittyvälle päätöksenteolle. [AS/NZS 4360:2004. 2004] Riskienhallinta. Riskienhallintaan sisältyvät toimintakulttuuri, prosessit ja rakenteet, jotka edesauttavat potentiaalisten mahdollisuuksien toteutumista ja joiden avulla hallitaan haitallisia tapahtumia. Riskienhallinta on siten haitallisten tapahtumien välttämisen tai niiden seurausten pienentämisen lisäksi myös potentiaalisten mahdollisuuksien tunnistamista, analysointia ja hyödyntämistä organisaation tavoitteiden saavuttamiseksi. [AS/NZS 4360:2004. 2004.] Riskienhallintaprosessin päävaiheet ovat prosessin tavoitteiden määrittely, riskien tunnistaminen, riskien analysointi, riskien arviointi, riskien hallinta, seuranta ja mittaaminen sekä kommunikointi. [AS/NZS 4360:2004. 2004.] Tasapainotettu mittaristo (balanced scorecard) on kehitetty parantamaan yrityksen suorituskyvyn mittaamista. Alun perin tasapainotetussa mittaristossa oli neljä näkökulmaa: taloudellinen, asiakas-, sisäisten prosessien sekä oppimisen ja kasvun näkökulma. Muita mahdollisia näkökulmia tasapainotetussa mittaristossa ovat henkilöstö-, ympäristö-, toimittaja- tai alihankkija- sekä yhteiskunnallisen vaikuttavuuden näkökulma. [Malmi et al. 2003.] Toiminnan ohjaus on kokonaisuus, jolla tavoitteellisesti ohjataan yrityksen toimintaa työtä ja resursseja eri muodoissa ja eri tasoilla. Yrityksen (liike)toiminnan oh- 9

jaus voidaan jakaa kolmeen tasoon: strategiseen ohjaukseen, kehitystoiminnan ohjaukseen ja operatiiviseen ohjaukseen. [Kalliokoski et al. 2001.] Toiminnanohjausjärjestelmällä (Enterprise Resource Planning ERP) tarkoitetaan liiketoiminnan ohjaamiseen käytettävää tietojärjestelmää, joka yhdistää liiketoiminnan eri osa-alueet toisiinsa. [Kalliokoski et al. 2001.] 10

1. Johdanto 1. Johdanto 1.1 Hajautuva riskienhallinnan maailma Erityisesti vahinkoriskien ja taloudellisten riskien hallinnalla on organisaatioissa pitkät perinteet. Viime vuosina riskien monimuotoisuus on kuitenkin kasvanut niin liikeelämän kuin teknologian kehityksen kiihtyessä. Riskienhallinnalle ulkoapäin asetetut vaatimukset sekä organisaation sisäinen tarve jäsentää, kvantifioida ja linkittää erilaisia riskejä ovat luoneet tarpeen laajentaa riskienhallinnan näkökulmaa yhä keskeisemmäksi osaksi koko organisaation johtamista. Riskienhallinta on siis osa strategista suunnittelua ja operatiivista päivittäisjohtamista. Riskienhallinnalla pyritään erityisesti organisaation liiketoiminnalliseen menestymiseen. Perusideologiana on uhkiin varautuminen ja mahdollisuuksien hyödyntäminen. Riskit liitetään nykyään yhä enemmän yrityksen strategiaan, omaisuuden hallintaan, markkina-arvon säilyttämiseen sekä asiakkaiden ja sidosryhmien mielikuviin. Riskienhallinta lähtee organisaation strategisesta johtamisesta ja ohjaa päätöksentekoa siltä osin, mitä riskejä otetaan ja mitä vältetään. [Lanne 2007.] Riskienhallinnan systemaattista toimintatapaa (riskien tunnistaminen, analysointi, priorisointi, reagointi, ehkäisy ja seuranta) sovelletaan yhä laajemmin vahinkoriskien ohella myös liiketoiminnan riskien tarkasteluun. Koska liiketoimintaan liittyvän riskienhallinnan koetaan olevan pkyrityksen toiminnan jatkuvuuden kannalta sekä tärkeää että yritysjohdon näkökulmasta usein myös kiinnostavaa, voidaan riskien tarkastelu hyvin aloittaa tästä näkökulmasta. Hyviksi koettuja menettelytapoja voidaan sitten soveltaa myös muille riskialueille. Pääpiirteissään ja perustehtäviltään riskienhallinta on samanlaista yrityksen koosta riippumatta. Pk-yrityksien riskienhallinnassa on kuitenkin muutamia erityispiirteitä suurien yritysten riskienhallintaan verrattuna. Ensinnäkin pk-yritysten riskienkantokyky on usein heikko. Tiedostetuillekaan riskeille ei voida tehdä suuria budjettivarauksia. Toiseksi riskeihin kiinnitetään usein vähemmän huomiota kuin suurissa yrityksissä. Pieniin yrityksiin ei voida useinkaan palkata erillistä työntekijää hoitamaan riskienhallintaa. [Juvonen et al. 2005.] 11

1. Johdanto Perinteinen riskienhallinta on ollut yrityksissä sisällöllisesti hajautunutta. Esimerkiksi riskilajeja tarkastellaan toisistaan erillisinä (ympäristö- ja turvallisuusriskit, tietoriskit, rahoitusriskit jne.), riskien tunnistamisvaiheessa ei kerätä riittävästi tietoa eri osapuolilta eikä tietoa realisoituneista riskeistä hyödynnetä. Riskilähtöinen jaottelu sopii pienille yrityksille silloin, kun etsitään ratkaisua yhteen, tunnistettuun ongelmaan. Se ei kuitenkaan tue riittävästi yrityksen kokonaisvaltaisen riskienhallinnan kehittämistä ja koko toiminnan laaja-alaista riskitarkastelua, minkä vuoksi kokonaiskuva riskeistä ja riskienhallinnasta jää hajanaiseksi. Hajautumista lisää myös se, että monimerkityksisyys on yhä hallitsevampi piirre riskejä koskevassa päätöksenteossa. Perinteisten teknisten tietojen lisäksi myös muita olennaisia tekijöitä, kuten sidosryhmien ja kansalaisten näkemyksiä, on punnittava aiempaa tarkemmin. [Räikkönen & Rouhiainen 2003.] Hajautuminen voi vaikeuttaa myös riskien yhteisvaikutusten arvioimista sekä riskienhallinnan onnistumisen arviointia. Nykyiset riskienhallinnan trendit korostavat asioiden kokonaisvaltaista hallintaa, jossa kaikki yritystoimintaan liittyvät riskit nähdään yhtenä kokonaisuutena ja ymmärretään niiden kytkennät toisiinsa. Pk-yrityksille kokonaisvaltainen riskienhallinta on luontainen toimintatapa. Pk-yrityksissä muutamat avainhenkilöt joutuvat hallitsemaan koko yritystoiminnan kentän aina talousjohtamisesta henkilöjohtamisen kautta tuotannollisiin tehtäviin ja yritysjuridiikkaan. 1.2 Riskienhallinta osana toiminnan ohjausta ja organisaation johtamista Riskienhallinta ei ole organisaation liiketoiminnasta irrallinen toiminto, vaan se tukee organisaation perustehtävän toteutumista ja tavoitteiden saavuttamista. Riskienhallinnan avulla varmistetaan, että yrityksen perustehtävä ei vaarannu. Tähän pohjautuu yrityksen riskienhallintastrategian ja riskinkantokyvyn määrittäminen. Organisaatioiden tulisi integroida riskienhallinta osaksi tavanomaista johtamista ja toiminnan prosesseja. Riskimittareiden paikallistamisessa ja valinnassa on tärkeää aloittaa yhtiön liiketoiminnan ja prosessien avaintekijöistä. Myös tämä edellyttää organisaation perustehtävän ja sitä toteuttavien prosessien tuntemista, kuvaamista ja analysointia. Toimintojen suunnittelu ja johtaminen sekä riskien tunnistaminen ja hallinta antavat yhdessä mahdollisuuden erilaisten ja hyvin moniulotteisten näkymien tarkasteluun. Toiminnan tavoitteista liikkeelle lähtevä tarkastelu voisi tuoda uutta näkökulmaa siihen, mitä erilaisia riskejä toimintojen eri osissa esiintyy. On kuitenkin pidettävä mielessä se, että pk-yrityksissä toimintaprosesseja (kuten johtamis-, talous- tai henkilöstöprosesseja) ei välttämättä mielletä selkeästi erillisiksi eikä niitä aina ole tarkoituksenmukaistakaan eriyttää. Pienissä yrityksissä ei ole yleensä kirjattuja riskienhallintapolitiikkoja tai erikseen nimettyjä talousjohtajia, divisioonia ja tukifunktioita. 12

1. Johdanto Yhteys yrityksen toimintajärjestelmän ja riskien arvioinnin ja hallinnan välillä jää valitettavan löyhäksi useimmissa nykyisin käytössä olevissa riskien arvioinnin menetelmissä, jotka on ensisijaisesti tarkoitettu yritysten omatoimiseen käyttöön (ns. ei-asiantuntijamenetelmät, joita ovat esimerkiksi Pk-yrityksen riskienhallinta -työvälinesarja ja Riskien arviointi työpaikalla -työkirja). Näissä fokus on ollut riskien tarkastelussa: miten saadaan riskit tunnistettua kattavasti ja monipuolisesti, miten riskien suuruus määritetään ja mitä toimenpiteitä riskien arvioinnin tulosten perusteella toteutetaan. Yksittäisiä työvälineitä haavoittuvuusanalyysejä, riskikarttoja ja tarkistuslistoja on useita, mutta yrityksille ei välttämättä synny selkeää käsitystä siitä, miten riskienhallinta liittyy osaksi yrityksen toimintoja, mihin prosessien osiin riskit erityisesti kohdistuvat ja missä liiketoimintaprosessien vaiheissa työvälineitä tulisi käyttää. Mitkä tekijät sitten ohjaavat pienten yritysten riskienhallinnan kehittämistä? VTT:n selvityksessä riskienhallinnan nykytilasta ja haasteista pk-yrityksissä [Lanne & Mikkonen 2005] ennakoitiin, että riskienhallinnassa siirrytään tulevaisuudessa ulkopuolelta asetetuista vaatimuksista kohti sisäistä ohjausta. Tällöin pyritään toiminnan jatkuvuuden varmistamisen ohella tavoitteelliseen toiminnan kehittämiseen ja jopa liiketoiminnallisen lisäarvon tuottamiseen. Sisäisten tavoitteiden merkitys nähtiin tulevaisuudessa suurempana erityisesti juuri pienissä organisaatioissa. Sisäisen riskienhallinnan painopisteet vaihtelivat toimialoittain, mutta mikro-organisaatioissa korostui tarve ymmärtää riskienhallinta yritystoiminnan kulmakivenä. Riskien mittaaminen ja riskiraportointi tulisi rakentaa ennakoivasti early warning system -periaatteen mukaan. Systemaattisesti toimivan järjestelmän luomisessa on tärkeää, että luotettava ja oikeaan aikaan tuotettu tieto välittyy yhtiön johdolle ja kaikille tietoa tarvitseville, koska yritysjohdon tekemät päätökset riippuvat johdon saamasta informaatiosta. Sekä säännöllinen vakioraportointi että tilannesidonnainen raportointi ovat tarpeen. Vakioraportoinnissa tulisi hyödyntää jo olemassa olevia raportointijärjestelmiä. Äkillisessä ad hoc -raportoinnissa uusista tilanteista on pyrittävä raportoimaan johdolle mahdollisimman suoraan ja epämuodollisesti. 1.3 Lähtökohdat hankkeelle Tutkimusprojektin lähtökohtana oli tarve uudistaa Pk-yrityksen riskienhallinta (PK-RH) -työvälinesarjaa erityisesti siten, että se sopisi johtamisen käytäntöihin ja vastaisi pkyritysten toiminnan ohjauksen menettelyjä entistä paremmin. Uudistamisen tavoitteena oli varmistaa, että työvälinesarja säilyy ajantasaisena sekä parantaa konseptin käytettävyyttä pk-yrityksissä kytkemällä välineistö osaksi liiketoimintaa. PK-RH-työvälinesarja on kehitetty vuosina 1996 2004 useiden asiantuntijoiden työn tuloksena, ja se on Internetissä vapaasti yritysten käytettävissä (www.pk-rh.fi). Työvälineet on koottu kymmenen riskilajin ympärille: liike-, henkilö-, sopimus- ja vastuu-, tie- 13

1. Johdanto to-, tuote-, ympäristö-, projekti-, keskeytys-, rikos- ja paloriskien. Tällä hetkellä työvälineitä on paljon, minkä vuoksi pk-yrityksen on vaikea löytää oman toimintansa kannalta oleellisimmat välineet. Osa työvälineistä on riskilajikohtaisia tarkistuslistoja (esimerkiksi työympäristöriskit tai tuotantoon liittyvät riskit), ja ne soveltuvat hyvin riskien tunnistamiseen. Osa taas on toimenpidelistoja (esimerkiksi pelastussuunnitelman laatiminen), eli niiden avulla voidaan parantaa riskienhallinnan lähtökohtia mutta ne eivät sovellu sellaisenaan riskien tunnistamiseen. Nämä toimenpidelistat tulisi liittää selkeämmin osaksi toimintajärjestelmiä, joita pk-yrityksissäkin on jo laajalti käytössä. 1.4 Hankkeen tavoitteet Kesällä 2008 käynnistetyn tutkimusprojektin tavoitteena oli laatia malli tai toimintatavan kuvaus riskienhallinnan yhteyksistä pk-yrityksen toiminnan ohjauksen ja johtamisen käytäntöihin. Mallin avulla nykyisin käytössä olevia riskien tunnistamisen ja arvioinnin menetelmiä voidaan kohdentaa tehokkaammin yrityksen eri toimintoihin ja käytössä oleviin johtamisen viitekehyksiin. Pk-yritysten riskienhallinnan tehostamisella pyritään siihen, että riskienhallinnassa hyödynnettäisiin nykyistä tehokkaammin yritysten käyttämiä toimintajärjestelmiä ja toisaalta käytettäisiin riski-informaatiota toiminnan johtamisessa. Liittämällä riskienhallinta systemaattiseksi osaksi johtamista yrityksiin syntyy riskienhallinnan toimintasuunnitelma, jonka avulla havaitaan riskienhallinnan konkreettiset hyödyt se ei ole vain vahinkojen välttämistä vaan tukee asetettujen tavoitteiden saavuttamista nähdään, että riskienhallinta on selkeästi osa normaalia toimintaa ja johtamista riskienhallinnan kokonaisuus on kuvattu ja sen toimivuutta pystytään arvioimaan ja esittelemään ulkopuolisille tahoille (viranomaiset, asiakkaat, muut sidosryhmät). Tutkimuskysymyksiä olivat: Millä tavoin riskienhallinta on pk-yrityksissä tällä hetkellä integroitu toiminnan ohjauksen mallien kanssa? Miten riskienhallinta parhaimmillaan liitetään osaksi pk-yrityksen toiminnan ohjausta; voidaanko suositella jotain tiettyä toiminnan ohjauksen mallia ja integroinnin toimintatapaa? Millä tavoin riskien arvioinnin tuloksia ja muuta riski-informaatiota voitaisiin paremmin käyttää pk-yritysten johtamisen tukena? Yritysten toiminnan ohjaamista ja riskien hallintaa varten on olemassa useita erilaisia tapoja ja määrämuotoisia menettelyjä, joista muutamia on kuvattu lyhyesti seuraavassa kappaleessa. 14

2. Toiminnan ohjauksen ja riskienhallinnan viitekehykset 2. Toiminnan ohjauksen ja riskienhallinnan viitekehykset 2.1 Pienet ja keskisuuret yritykset Suomessa Pk-yrityksillä on merkittävä vaikutus Suomen talouselämään. Suomessa toimi vuonna 2007 kaikkiaan 308 917 yritystä, ja näistä alle 250 työntekijää työllistäviä pk-yrityksiä oli 308 274 eli 99,8 prosenttia. Pk-yritykset työllistivät vuonna 2007 yhteensä 936 463 henkilöä, mikä oli 63 prosenttia koko työvoimasta. Vuonna 2008 perustettiin 34 549 uutta yritystä ja toimintansa lopetti 27 204 yritystä. [Tilastokeskus 2009b.] Yli puolet uusista yrityksistä lopettaa toimintansa ensimmäisen viiden vuoden aikana. Uudet yritykset työllistävät keskimäärin kaksi henkilöä, kun taas liiketoiminnan siirroissa säilyy keskimäärin viisi työpaikkaa. Täten olemassa olevan yrityskannan uusiutuminen ja vahvistaminen on tärkeää työllisyyden ja yritysten kasvun kannalta. Kolmannes Suomen yrityskannasta on omistajanvaihdosten edessä seuraavien 5 10 vuoden kuluessa, joten omistuksen siirtojen ja sukupolvenvaihdosten onnistumisella on suuri merkitys työllisyydelle. Kasvaville yrityksille on luontevaa suunnata toimintaansa kansainvälisille markkinoille tai siirtyä ulkomaiseen omistukseen, mutta kansantalouden kannalta on tärkeää huolehtia siitä, että yritykset eivät siirry ulkomaiseen omistukseen liian varhaisessa vaiheessa. [Suomalaisen omistajuuden neuvottelukunta 2006.] Strategisella suunnittelulla ja riskienhallinnalla voidaan parantaa yritysten toimintaedellytyksiä kriittisten ensimmäisten vuosien aikana sekä varmistaa omistajanvaihdosten onnistuminen ja yritysten säilyminen elinvoimaisina. 2.2 Riskienhallinta pk-yrityksissä 2.2.1 Riskienhallinnan määritelmä ja riskienhallintaprosessi Yritysten riskienhallintaa voidaan toteuttaa monesta eri näkökulmasta. Perinteisesti on lähdetty liikkeelle jostakin lakisääteisestä, kriittiseksi tai muuten ajankohtaiseksi koetusta riskilajista, kuten vahinkoriskeistä tai työturvallisuuteen liittyvistä riskeistä. Koska 15

2. Toiminnan ohjauksen ja riskienhallinnan viitekehykset riskienhallintaa on pitkään toteutettu riskilajikohtaisesta lähtökohdasta, ovat myös riskienhallintaan liittyvien termien ja käsitteiden määritelmät olleet runsaslukuisia ja vaihdelleet tapauskohtaisesti. Teknisten järjestelmien riskianalyysin standardin mukaan [SFS-IEC 60300-3-9 2000] riski on tietyn vaarallisen tapahtuman esiintymistaajuuden tai -todennäköisyyden ja seurauksen yhdistelmä. Työterveys- ja työturvallisuusjohtamisjärjestelmä -standardi [OHSAS 18001:fi 2007] puolestaan määrittelee riskin vaarallisen tapahtuman tai altistuksen esiintymistodennäköisyyden ja tapahtumasta tai altistuksesta mahdollisesti aiheutuvan vamman tai terveyden heikentymisen vakavuuden yhdistelmäksi. Näiden kahden määritelmän mukaisesti riskin seuraukset ovat aina negatiivisia. Sisäisen valvonnan ja riskienhallinnan näkökulmasta katsottuna riski voidaan määritellä epävarmuudeksi tapahtumasta, jolla voi olla vaikutusta organisaation tai sen osan tavoitteiden saavuttamiseen [Alftan et al. 2008]. Riskin määritelmä on siten laajentunut perinteistä vahinkonäkökulmaa moninaisemmaksi. Tässä tutkimuksessa riskin määritelmänä käytetään riskienhallintastandardin [AS/NZS 4360:2004] mukaista määritelmää, jonka mukaan riski on jonkin tapahtuman muutos, joka voi vaikuttaa tavoitteiden saavuttamiseen, ja riskillä voi olla positiivisia tai negatiivisia vaikutuksia. Määritelmän mukaan riskiksi voidaan tunnistaa myös tapahtuma tai tilanne, joka jätetään hyödyntämättä ja jonka avulla voitaisiin saavuttaa organisaation asettama tavoite. Standardin mukaan riskienhallintaan sisältyvät toimintakulttuuri, prosessit ja rakenteet, jotka edesauttavat potentiaalisten mahdollisuuksien toteutumista ja joiden avulla hallitaan haitallisia tapahtumia. Riskienhallinta on siten haitallisten tapahtumien välttämisen tai niiden seurausten pienentämisen lisäksi myös potentiaalisten mahdollisuuksien tunnistamista, analysointia ja hyödyntämistä organisaation tavoitteiden saavuttamiseksi. Riskienhallinnan standardin AS/NZS 4360:2004 ovat laatineet Australian ja Uuden- Seelannin standardisointiorganisaatiot. Standardi tarjoaa yleisen mallin riskien hallintaan. Mallia voidaan soveltaa sekä julkisella että yksityisellä sektorilla, ja se on toimialasta riippumaton. Mallia voidaan käyttää niin yrityksen toimintaan kuin päätöksentekoon liittyvien riskien hallintaan. Standardi painottaa, että riskienhallinta on olennainen osa hyvää johtamista. Riskienhallintaa voidaan soveltaa yrityksen eri tasoilla, esimerkiksi strategisella ja operatiivisella tasolla. Riskienhallinnan käytännöt tulisi integroida osaksi olemassa olevia toimintatapoja ja liiketoimintaprosesseja. Jatkuvan parantamisen periaatteen mukaisesti myös riskienhallinnan tason ja käytäntöjen tulisi kehittyä kokemuksen myötä. Standardin AS/NZS 4360:2004 sisältämän riskienhallintaprosessin päävaiheet ovat riskienhallintaprosessin tavoitteiden määrittely, riskien tunnistaminen, riskien analysointi, riskien arviointi, riskien hallinta, seuranta ja mittaaminen sekä kommunikointi (kuva 1). 16

2. Toiminnan ohjauksen ja riskienhallinnan viitekehykset Riskienhallintaprosessin tavoite ja määrittelyt sisäinen ja ulkoinen toimintaympäristö tavoitteet ja strategia kriteerit riskianalyysin rakenne Kommunikointi sisäinen ja ulkoinen tiedonkulku Riskien tunnistaminen missä, milloin, kuinka, miksi Riskien analysointi nykyiset hallintakeinot seuraukset ja todennäköisyys riskitason määrittely Riskien arviointi vertailu kriteereihin kiireellisyysjärjestys Seuranta ja mittaaminen jatkuva parantaminen muutosten huomiointi Riskien hallinta tavoitteet/strategia toimenpideohjelmat jäännösriski Kuva 1. Riskienhallintaprosessin malli riskienhallinnan standardin mukaan. Kuvassa 2 on esitetty yleinen riskienhallintaprosessin malli. Se on karkea ylätason kuvaus niistä päävaiheista, joita yrityksen riskienhallintaprosessin tulee sisältää. Se ei pyri esittämään yhtä oikeaa ratkaisua vaan antamaan lähtökohtia riskienhallinnan kehittämiseen. Prosessin vaiheet liittyvät toisiinsa ja ovat osittain päällekkäisiä, joten prosessia ei tule toteuttaa vaiheittain edeten. Yrityksessä voikin olla tiettynä hetkenä käynnissä lähes kaikki prosessimallin vaiheet. Malli kuvaa pikemminkin sitä, millainen prosessi yrityksen riskienhallinta on silloin, kun yritys on prosessin kehittämisessä saavuttanut jokseenkin vakiintuneen tilan. Tällöin yrityksen riskienhallinta pohjautuu kirjalliseen riskienhallintapolitiikkaan ja sen perusteella johdettuihin konkreettisiin tavoitteisiin, yrityksessä on olemassa menettelyt riskien tunnistamiseksi ja niiden suuruuden arvioimiseksi jne. 17

2. Toiminnan ohjauksen ja riskienhallinnan viitekehykset Riskienhallintapolitiikka Riskienhallinnan tavoitteet JATKUVA PARANTAMINEN Riskien tunnistaminen ja suuruuden arvioiminen - liiketoiminnan SWOT - riskianalyysit - vaaratilanneraportointi - havainnointikierrokset jne. Riskien hyväksyttävyydestä päättäminen Kehittämistoimenpiteistä päättäminen ja toimenpiteiden toteutus Kehittämistoimenpiteiden toteutumisen seuranta J A T K U V A V I E S T I N T Ä Riskienhallintaprosessin seuranta ja raportointi Auditointi ja katselmointi, riskienhallintaprosessin onnistumisen arviointi Kuva 2. Riskienhallintaprosessin vaiheet [mukaillen julkaisuista A Risk Management Standard 2002 ja COSO 2004a]. Riskienhallintapolitiikka linjaa ja määrittelee yrityksessä harjoitettavaa riskienhallintaa ja ilmaisee, miten erilaisiin riskeihin suhtaudutaan. Riskienhallintapolitiikan tulisikin liittyä yrityksen kokonaisohjaukseen. Se kytkeytyy esimerkiksi yrityksen visioon, toiminta-ajatukseen ja arvoihin tukien osaltaan strategian toteutusta. Riskienhallintapolitiikka ei saa olla ristiriidassa muiden toimintaa ohjaavien periaatteiden ja säännöstöjen kanssa. Politiikka sisältää tyypillisesti keskeiset linjaukset riskienhallinnan päämääristä ja tavoitteista, organisoinnista ja vastuista sekä hyödynnettävistä riskien tunnistamis-, arviointi- ja kontrollointimenetelmistä. Riskienhallintapolitiikassa voidaan kuvata myös raportointiperiaatteet sekä yrityksen riskinkantokyky eli se, kuinka suuren yksittäisen vahingon yritys tai jokin sen yksikkö kestää ja kuinka suuren yhteenlasketun menetyksen organisaatio voi vuoden aikana kantaa. 18

2. Toiminnan ohjauksen ja riskienhallinnan viitekehykset Riskienhallinnan tavoitteiden määrittelyssä tarkastellaan muun muassa yrityksen sisäistä ja ulkoista toimintaympäristöä. Ulkoista toimintaympäristöä tarkasteltaessa huomioidaan yrityksen sidosryhmät (esimerkiksi asiakkaat) ja heidän vaatimuksensa sekä mahdolliset yritykseen kohdistuvat uhat ja mahdollisuudet. Tämä on tärkeää, jotta riskienhallintaprosessin päämäärä ja riskien suuruuden arvioinnissa käytettävät kriteerit osataan asettaa yrityksen toiminnan kannalta tarkoituksenmukaisiksi. Riskienhallintaprosessin seuraava vaihe on huolellisesti ja järjestelmällisesti toteutettu riskien tunnistaminen. Tunnistettujen riskien analysointi lisää riskeihin liittyvää tietoa. Riskien arvioinnissa tulisi selvittää muun muassa riskin seuraukset ja todennäköisyys, nykyiset riskien hallintatoimenpiteet ja tarvittaessa riskitilanteisiin johtavat syyt. Riskien hyväksyttävyydestä päättäminen tarkoittaa nimensä mukaisesti päätöksentekoa siitä, onko jokin tunnistettu riski hyväksyttävällä tasolla vai ei. Kyse on yrityksen itse määrittelemästä suhtautumisesta riskiin. Riskien hyväksyttävyydestä päättäminen perustuu ennen kaikkea riskien arvioituun suuruuteen. Päätöksen jonkin tietyn riskin hyväksyttävyydestä tulee muuttua, jos arvioinnin tueksi saadaan uutta tietoa. Riskin hyväksyttävyydestä päättämistä tukee hyvin laadittu politiikka. Kehittämistoimenpiteistä päättäminen ja toimenpiteiden toteutus on yksi prosessin keskeisimmistä vaiheista. Kehittämistoimenpiteiden tulee ensisijaisesti kohdistua niihin riskeihin, jotka edellisessä vaiheessa on määritelty ei-hyväksyttäviksi. Toimenpideehdotuksia kirjataan analyysilomakkeille tyypillisesti jo riskien tunnistuksen yhteydessä. Toimenpiteitä suunniteltaessa ja valittaessa tulee myös huolehtia, ettei muutoksilla aiheuteta jotain uutta riskiä. Kehittämistoimenpiteissä ei silti ole syytä rajoittua vain eihyväksyttyihin riskeihin. Yhtä perusteltua on toteuttaa myös sellaisia toimenpiteitä, jotka kohdistuvat merkitykseltään vähäisempiin riskeihin mutta joiden myötä riskit pienenevät merkittävästi vaatimaansa panokseen nähden. Toimenpiteiden toteutumisen seurannan tavoitteena on toimenpiteiden toteutumisen varmistaminen. Toimenpiteiden vaikutuksia tarkastelemalla opitaan erilaisten toimenpiteiden hyödyistä ja voidaan myös varmistaa halutun lopputuloksen saavuttaminen. Riskienhallintaprosessin seurannan ja mittauksen avulla varmistetaan, että prosessi toteutuu joka vaiheessa niin kuin on suunniteltu. Seuranta voidaan toteuttaa esimerkiksi osana johdon katselmointia. Raportointi voi sisältää esimerkiksi koosteen kaikista vuoden aikana toteutetuista riskien arvioinneista, niissä esille tulleista merkittävimmistä riskeistä sekä riskien hallitsemiseksi tehtävien toimenpiteiden tilanteesta. Auditointi ja katselmointi kohdistuvat koko riskienhallintaprosessin toimivuuteen. Onnistumisen arviointi liittyy keskeisesti siihen, millaisilla mittareilla tavoitteiden toteutumista mitataan. Mukaan kannattaa ottaa sekä riskilajikohtaisia että koko riskienhallintaprosessin toimivuutta kuvaavia mittareita. Riskienhallintaprosessin arviointi voidaan tehdä myös osana toimintajärjestelmän auditointeja siten, että auditointilomakkeeseen lisätään riskienhallintaa koskevia kysymyksiä. 19

2. Toiminnan ohjauksen ja riskienhallinnan viitekehykset Viestinnän tehtävänä on varmistaa riittävä sisäinen ja ulkoinen tiedonkulku prosessin eri vaiheissa. Riskienhallinnasta tulee viestiä erilaisille sidosryhmille, kuten yrityksen henkilöstölle, asiakkaille, aliurakoitsijoille, rahoittajille, paikallisyhteisölle ja viranomaisille. Riskienhallintapolitiikan julkaiseminen on yksi keino viestiä riskienhallinnan merkityksestä ja arvostuksesta yrityksessä. Lisäksi tulee huolehtia, että palautekanavat sidosryhmistä takaisin yritykseen toimivat. 2.2.2 Enterprise Risk Management (ERM) kokonaisvaltainen ajatusmalli organisaation riskienhallintaan Enterprise Risk Management Integrated Framework on riskienhallinnan malli, jonka tavoitteena on parantaa organisaatioiden sisäistä valvontaa ja kehittää riskienhallintaprosessista entistä kokonaisvaltaisempaa. Mallin on julkaissut Committee of Sponsoring Organizations of the Treadway Commission (COSO) vuonna 2004. Mallin mukaan riskienhallinta on koko organisaation kattava prosessi, jota sovelletaan organisaation kaikilla tasoilla. Riskienhallinnan tavoitteena on tunnistaa epävarmuustekijöitä, jotka toteutuessaan vaikuttavat organisaation tavoitteiden saavuttamiseen, sekä hallita riskejä organisaation riskinottokyvyn ja -halun mukaisesti [Alftan et al. 2008]. Organisaation riskienhallinta on sen hallituksen, johdon ja muun henkilökunnan toteuttama prosessi, jota sovelletaan strategian laadinnassa ja koko organisaatiossa ja jonka tarkoituksena on tunnistaa organisaatioon vaikuttavia potentiaalisia tapahtumia. Lisäksi riskienhallinnan tulee pitää riskit riskinottohalukkuuden rajoissa, jotta voidaan olla kohtuullisen varmoja organisaation tavoitteiden toteutumisesta. Kokonaisvaltaisissa riskitarkasteluissa on tärkeää ymmärtää yrityksen liiketoiminnan ja keskeisten toimintaprosessien tavoitteet ja kuvata näiden tavoitteiden toteuttamiseen vaikuttavia riskejä. Organisaation riskienhallinta koostuu kahdeksasta toisiinsa liittyvästä osa-alueesta, jotka ovat osa johtamisprosessia. Organisaation riskienhallinta on monisuuntainen ja toistuva prosessi, jossa lähes kaikki osa-alueet vaikuttavat toisiinsa. Organisaation tavoitteet ja riskienhallinnan osa-alueet ovat suorassa suhteessa toisiinsa. Tätä suhdetta voidaan kuvata kolmiulotteisena kuutiomatriisina (kuva 3), jossa neljä tavoitekategoriaa (strategiset, toiminnalliset, raportointia koskevat ja vaatimustenmukaisuutta koskevat tavoitteet) on kuvattu pylväinä, kahdeksan osa-aluetta vaakariveinä ja organisaation yksiköt kolmantena ulottuvuutena. [COSO 2004a.] 20